HTTP過濾將對(duì)安全市場(chǎng)產(chǎn)生深遠(yuǎn)影響

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

準(zhǔn)確地講，Web安全是在2007年才火起來的一個(gè)概念。從傳統(tǒng)的網(wǎng)關(guān)安全中拆分出來后，Web安全的活力與日俱增。其中，以HTTP過濾為主的產(chǎn)業(yè)鏈將會(huì)對(duì)安全市場(chǎng)產(chǎn)生深遠(yuǎn)影響。

市場(chǎng)的期待

根據(jù)IDC公布的報(bào)告，全球Web安全市場(chǎng)將會(huì)在2012年前達(dá)到65億美元的規(guī)模。事實(shí)上，這一市場(chǎng)容量已經(jīng)超過了UTM所預(yù)期的40億美元的規(guī)模。有意思的是，根據(jù)Gartner在今年第二季度公布的統(tǒng)計(jì)數(shù)字，全球Web安全產(chǎn)品的使用程度相當(dāng)?shù)?，僅有10%的企業(yè)部署了真正意義上的Web安全網(wǎng)關(guān)。換句話說，整個(gè)市場(chǎng)處于井噴的邊緣。

其實(shí)，很多傳統(tǒng)的網(wǎng)關(guān)型安全產(chǎn)品已經(jīng)具備了一些Web安全設(shè)備的要求。不過，這還不夠！據(jù)Gartner的分析師透露，他們之所以會(huì)把Web安全單獨(dú)分離出來，就是因?yàn)閭鹘y(tǒng)的防火墻、入侵防御系統(tǒng)、網(wǎng)關(guān)防病毒、防垃圾郵件都無法滿足純正的Web安全要求——完整的HTTP過濾。

有專家指出，以HTTP過濾為代表的Web安全技術(shù)將會(huì)是未來企業(yè)不可或缺的安全設(shè)備。從當(dāng)前的市場(chǎng)調(diào)查看，在企業(yè)的Internet應(yīng)用中，HTTP應(yīng)用占據(jù)了80%的份額，但遺憾的是，這一領(lǐng)域傳統(tǒng)的安全設(shè)備并沒有辦法進(jìn)行控制。雖然有部分防火墻或者入侵防御設(shè)備號(hào)稱集成了應(yīng)用層防護(hù)，但不是集成后導(dǎo)致性能大幅度衰減，就是內(nèi)建的過濾機(jī)制過于薄弱，難以應(yīng)付當(dāng)前復(fù)雜的互聯(lián)網(wǎng)威脅。

因此，不少專業(yè)人士看好以HTTP過濾為主的Web安全產(chǎn)品。據(jù)悉，目前以Anchiva、Blue Coat、SurfControl、Websense為代表的Web安全廠商已經(jīng)給市場(chǎng)注入了新鮮的技術(shù)血液。有人樂觀地表示，雖然目前還沒有十全十美的Web安全解決方案，但當(dāng)前市場(chǎng)已經(jīng)足夠開放，而用戶對(duì)此的需求與認(rèn)識(shí)也在與日俱增。

三大安全標(biāo)準(zhǔn)

每一種產(chǎn)品都需要標(biāo)準(zhǔn)，其實(shí)對(duì)于Web安全標(biāo)準(zhǔn)的爭(zhēng)論早已不絕于耳，其關(guān)注的焦點(diǎn)在于性能。

事實(shí)上，Web安全網(wǎng)關(guān)的顯著特征就是需要提供基于HTTP的高性能過濾。對(duì)此，Anchiva中國(guó)區(qū)總經(jīng)理李松在接受本報(bào)獨(dú)家專訪時(shí)表示，對(duì)于普通的過濾產(chǎn)品來說，比如常見的垃圾郵件過濾，時(shí)間上的要求并不苛刻。即便一封郵件晚幾分鐘到達(dá)，用戶也不會(huì)抱怨。但HTTP就不同了，如果因?yàn)檫^濾導(dǎo)致速度下降，即便每個(gè)網(wǎng)頁的打開速度晚上幾秒鐘，用戶都會(huì)嗤之以鼻。

從目前的情況看，互聯(lián)網(wǎng)頁面的復(fù)雜度在不斷增加，由此產(chǎn)生的是一個(gè)網(wǎng)頁就可能包含十幾個(gè)HTTP請(qǐng)求，對(duì)于某些企業(yè)或者高校用戶來說，在某個(gè)集中時(shí)間段內(nèi)的HTTP流量會(huì)非常大，這一直是困擾Web安全網(wǎng)關(guān)的難題。

為此，幾大Web安全廠商將HTTP過濾的性能劃分為三個(gè)要素：

第一，吞吐率。該指標(biāo)衡量每秒可以有多少個(gè)HTTP Session通過Web安全網(wǎng)關(guān)。目前來看，低端產(chǎn)品一般要提供200M的吞吐量，而高端產(chǎn)品則要支持到800M。此外，根據(jù)ICSA（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)）的規(guī)定，高端產(chǎn)品不能用緩存的方式進(jìn)行過濾，而需要逐個(gè)字節(jié)進(jìn)行掃描。

第二，并發(fā)連接數(shù)。在此領(lǐng)域廠商也分成兩大派別。一派是以Check Point為代表的軟件實(shí)現(xiàn)模式，另一派是以Anchiva為代表的FPGA模式。軟件模式實(shí)現(xiàn)靈活，但其每開一個(gè)HTTP連接，都要定位一個(gè)內(nèi)存塊，速度會(huì)降低。如果轉(zhuǎn)用硬件實(shí)現(xiàn)的話，內(nèi)存的開銷就不大。根據(jù)ICSA的規(guī)定，高端產(chǎn)品每秒必須支持一萬以上的并發(fā)連接，每一個(gè)連接占用的內(nèi)存在32K以下。

據(jù)專家介紹，目前高校對(duì)于并發(fā)連接數(shù)非常看重。從某大學(xué)測(cè)試的情況看，該大學(xué)有25000名師生，從2006年9月至今的測(cè)試分析，每天傍晚都可以看到1～2千個(gè)HTTP并發(fā)連接，而每個(gè)連接平均具有5～6個(gè)Session。換句話說，一臺(tái)Web安全網(wǎng)關(guān)需要完成每秒1萬個(gè)HTTP Session。而平均一個(gè)瀏覽器可能保持5～6個(gè)HTTP連接，因此每秒處理的請(qǐng)求數(shù)量是相當(dāng)可觀的。

第三，延時(shí)。如前文所述，用戶無法忍受在瀏覽網(wǎng)頁時(shí)要等上4～5秒，他們希望“點(diǎn)擊即所得”。事實(shí)上，這個(gè)標(biāo)準(zhǔn)主要由前兩個(gè)標(biāo)準(zhǔn)所決定。

獨(dú)到之處

前面說了，Web安全的發(fā)展有其特色，從某些方面看，這個(gè)特色是不可或缺的。

第一，Web安全網(wǎng)關(guān)不會(huì)替代防火墻或者IPS的角色，確切的說，它是兩者的補(bǔ)充。目前市場(chǎng)上的防火墻主要還是以封端口、抗掃描為主，但其在HTTP方面的容量，普遍只有50M～80M，這遠(yuǎn)遠(yuǎn)無法滿足企業(yè)80%的互聯(lián)網(wǎng)應(yīng)用的需求。換句話說，防護(hù)墻堵住了企業(yè)漏洞的一小部分，而更大的部分則暴露在外。

對(duì)IPS而言，它是依靠用戶行為進(jìn)行防御的網(wǎng)關(guān)設(shè)備，但它并不能看到應(yīng)用層的信息。換句話說，絕大部分的IPS都是進(jìn)行攻擊的防護(hù)，而Web安全網(wǎng)關(guān)則是通過大量的內(nèi)容安全庫(kù)來保護(hù)用戶杜絕病毒、木馬、惡意程序等不安全的內(nèi)容。當(dāng)然，從某些功能上說，兩者具有相似的地方。但對(duì)于某些間諜軟件來說，他們會(huì)利用子母站點(diǎn)進(jìn)行誘發(fā)下載（可能每秒只下載1K），而普通的IPS對(duì)此則是無能為力。對(duì)于很多7層應(yīng)用，如控制某些應(yīng)用程序的功能（QQ、MSN等），大部分IPS也無法應(yīng)對(duì)。

第二，Web安全設(shè)備不會(huì)給企業(yè)網(wǎng)絡(luò)添麻煩。目前主流的Web安全網(wǎng)關(guān)可以采取in line或者off line的模式。在in line模式下，in line安全設(shè)備可以采取及時(shí)行動(dòng)（甚至可以不需要配IP地址）。通常情況下，用戶只需要在防火墻和核心交換機(jī)之間部署in line安全網(wǎng)關(guān)，并配制成scan模式就可以了。

如果用戶擔(dān)心沒有使用此類設(shè)備的經(jīng)驗(yàn)，那么也可以采取off line的模式。只要采取旁路偵聽的部署方案，用戶就不必?fù)?dān)心自己的網(wǎng)絡(luò)受到影響。不過，無論采用哪種部署模式，都會(huì)對(duì)Web安全設(shè)備的處理速度有所要求。因?yàn)槿绻俣雀簧?，就?huì)漏掉很多需要檢測(cè)的數(shù)據(jù)包。

另外，從國(guó)內(nèi)外用戶測(cè)試的結(jié)果看，很多用戶的網(wǎng)絡(luò)并不如預(yù)期般的“干凈”。參考美國(guó)《Network World》公布的美國(guó)地區(qū)Web安全網(wǎng)關(guān)用戶報(bào)告，一些擁有2萬名師生的大學(xué)，其測(cè)試數(shù)據(jù)顯示，Web安全網(wǎng)關(guān)平均一周就要阻擋1萬多個(gè)有問題的HTTP連接。即便是在銀行這種安全措施較為完善的機(jī)構(gòu)中，一周仍然出現(xiàn)了6千個(gè)問題連接。

回到國(guó)內(nèi)，這個(gè)數(shù)字還要高。很多國(guó)內(nèi)高校師生不到1萬人，但有問題的HTTP連接卻超過2萬個(gè)。據(jù)專家透露，這個(gè)結(jié)果與國(guó)內(nèi)很多學(xué)校師生頻繁登錄大量破解網(wǎng)站下載資料有關(guān)。從檢測(cè)的結(jié)果看，國(guó)內(nèi)學(xué)生連接到俄羅斯的網(wǎng)站請(qǐng)求很多，而相應(yīng)的請(qǐng)求到其他國(guó)家的卻很少。據(jù)統(tǒng)計(jì)，這些網(wǎng)站很多都有安全問題。

第三，獨(dú)到的內(nèi)容安全庫(kù)。對(duì)于Web安全網(wǎng)關(guān)來說，都需要有一套集成的內(nèi)容安全庫(kù)。嚴(yán)格地說，完善的內(nèi)容安全庫(kù)不同于普通的URL分類庫(kù)或者某個(gè)IP黑名單地址庫(kù)。因?yàn)閁RL過濾更加傾向于用戶經(jīng)常訪問的網(wǎng)站，并將這些網(wǎng)站進(jìn)行某些威脅分類。比如色情類、賭博類等等，并進(jìn)一步限制用戶訪問。

而HTTP過濾的還需要包括普通用戶不經(jīng)常訪問的站點(diǎn)。因?yàn)閷?duì)于HTTP安全隱患而言，后者才是容易出問題的地方。(ccw-cnw)